Пасля збору даных кампаніі павінны ведаць і абараняць правы атрымальнікаў.
Новы Агульны рэгламент аб абароне даных (GDPR) не толькі пацвярджае ўсе існуючыя правы, але і дадае новыя. Атрымальнік мае права атрымаць доступ да сваіх даных і атрымаць пацвярджэнне, ці вядзецца іх апрацоўка.
Сярод найбольш актуальных новаўвядзенняў мы знаходзім права быць забытым / права на выдаленне і права на перанос дадзеных .
Права быць забытым дазваляе атрымальніку абноўлены спіс нумароў тэлефонаў з усяго свету за год атрымаць выдаленне асабістых даных, якія тычацца яго ў выпадках, калі:
- Дадзеныя больш не патрэбныя для гэтых мэт
- Атрымальнік адклікае згоду
- Атрымальнік пярэчыць супраць апрацоўкі ў маркетынгавых мэтах
- Апрацоўка не адпавядае рэгламенту.
Пераноснасць азначае прызнанне як права атрымальніка перадаваць свае дадзеныя з адной электроннай сістэмы апрацоўкі (напрыклад, сацыяльнай сеткі) у іншую, так і права атрымліваць іх у структураваным электронным фармаце, які дазваляе іх далейшае выкарыстанне.
3. Увядзенне ацэнкі ўздзеяння на абарону даных
Ацэнка ўздзеяння на абарону дадзеных (DPIA) – гэта рэальны аналіз канкрэтных рызык, выкліканых апрацоўкай даных. Кампаніі павінны праводзіць ацэнку ўздзеяння, вызначанага апрацоўкай, з моманту gdpr 2018: якія змены ў электронным маркетынгу? распрацоўкі бізнес-працэсу, асабліва ў тых выпадках, калі апрацоўка ўяўляе пэўную рызыку для правоў і свабод зацікаўленых бакоў.
Працэс уключае ў сябе тры розныя этапы, якія павінны праводзіцца як мінімум раз у год:
1. Аналіз рызыкі
2. Вызначэнне спісу крытычных праблем (спіс прабелаў)
3. Вызначэнне праграмы ўмяшання (плана дзеянняў)
Карацей кажучы, ацэнка ўздзеяння на абарону дадзеных – гэта своеасаблівая «папярэдняя самаправерка», якую кожная кампанія павінна праводзіць самастойна, каб быць у курсе рызык, звязаных з апрацоўкай персанальных даных.
4. Правядзіце ацэнку ўжо сабраных даных
Ужо сабраныя даныя нельга лічыць страчанымі: неабходна прайсці дакладны аналіз (званы ацэнкай ), каб разгледзець і ацаніць, ці можна гэтыя даныя працягваць выкарыстоўваць таксама ў святле еўрапейскай рэформы.
Перш чым GDPR уступіць у поўную сілу, таму да 25 мая 2018 года кожная кампанія павінна правесці праверку і вызначыць абноўленую праграму збору ў адпаведнасці з новымі правіламі.
Каб ажывіць даныя, вам проста трэба будзе даслаць дакладнае паведамленне, якое запэўніць атрымальніка ў выкарыстанні і прызначэнні даных.
Фундаментальнае патрабаванне карпаратыўнага адпаведнасці, гэты пункт тычыцца толькі кампаній з больш чым 250 супрацоўнікамі , якія павінны складаць і пастаянна абнаўляць рэестр апрацоўкі, які змяшчае:
- Імя і кантактныя дадзеныя кантралёра дадзеных
- Дадзеныя, якія апрацоўваюцца
- Апісанне катэгорый зацікаўленых асоб і катэгорый персанальных даных
- Мэты апрацоўкі
- Людзі, якія маюць доступ да дадзеных (унутры і па-за кампаніяй)
- Калі дадзеныя Новыя правы перадаюцца за мяжу
- Умовы выдалення даных (захавання даных)
- Агульнае апісанне тэхнічных і арганізацыйных мер бяспекі.
6. Новая фігура DPO (Афіцэр па абароне даных)
З GDPR 2018 года нарадзілася асоба супрацоўніка па канфідэнцыяльнасці дадзеных (DPO), або асобы, адказнай за абарону бізнес-даведнік сінгапура персанальных даных , якая, карацей кажучы, мае задачу правяраць правільную апрацоўку даных, падрыхтоўваць дакумент аб ацэнцы ўздзеяння на канфідэнцыяльнасць і у цэлым ацэньваючы адсутнасць рызыкі, звязанай з лячэннем.
Яна будзе абавязковай лічбай, калі:
- Той, хто апрацоўвае дадзеныя, з’яўляецца публічнай арганізацыяй
- Апрацоўваецца значная колькасць персанальных даных
- Канфідэнцыяльныя або судовыя даныя сістэматычна апрацоўваюцца.
Задачы ДПО розныя:
- Інфармаваць і кансультаваць кантралёра або апрацоўшчыка дадзеных аб абавязацельствах, якія вынікаюць з GDPR
- Праверце выкананне і прымяненне Еўрапейскага рэгламенту
- Забяспечыць захаванасць Новыя правы дакументацыі, якая тычыцца лячэння
- Праверце, каб парушэнні персанальных даных дакументаваліся, паведамляліся і паведамляліся
- Праверце, ці выконвае кантролер або працэсар ацэнку ўздзеяння
- Выступаць у якасці пункта сувязі для Гаранта